作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化暨分散式安全防護技術方案的介紹與推廣。 

 

資訊環境需要建立日誌管理環境來進行包括安全稽核、系統變更監控、錯誤分析等不同管理與安全作業,而當然,NSX的不同構件都可以發出Syslog給後端的日誌伺服器集中進行日誌收集與分析。但日誌管理系統不僅是要能夠進行日誌的收集與儲存,更重要的是必須能夠很方便的進行日誌的互動式分析與查詢,並且更進一步能夠看懂日誌的內容,甚至進行重要事件的統計並建立監控台。在這一篇網誌內要和大家討論的就是我們如何將NSX與VMware自己的日誌管理產品:vRealize Log Insight進行整合,達成完整的虛擬化安全與網路環境日誌管理。

 

vRealize Log Insight (以下簡稱Log Insight) 能夠提供企業包括VMware方案本身,以及其他企業資訊方案或設備的日誌管理。Log Insight可以透過非常方便的互動式介面協助客戶查詢日誌,同時企業也可以透過於VMware Solution Exchange網頁上下載對應方案的Content Pack,讓Log Insight可以”看懂”指定方案的日誌內容,進而能夠對應不同方案產出監控台看到相關日誌與事件的狀況。下圖是在https://solutionexchange.vmware.com/store/loginsight 網址下可以看到,包括NSX以及不同其他方案的Log Insight Content Pack。要注意的是如果要能支援NSX整合,vRealize Log Insight最低需要至少2.0版,建議可採用最新的 2.5版。此外,NSX必須是6.1以後的版本。

 

 

而下圖則是在Log Insight的管理畫面內,可以看到選擇Dashboard時,若我們已經安裝了對應的content pack,就可以針對不同的方案提供日誌的統計與事件分析。下圖是NSX內的分散式防火牆監控台的顯示。

 

 

我們在NSX環境內需要在四個地方進行NSX Log的設定,簡述如下:

 

vCenter and vSphere

 

NSX有相當多的日誌,比如說分散式防火牆的日誌,是直接寫在各台vSphere Host內的,因此安裝完Log Insight,要到Administration -> Integration內的vSphere設定,將NSX Manager所對應的vCenter Servers的相關資訊包括IP / Username / Password的設定寫入,並且將”Collect vCenter Server events, tasks, and alarms”選項打勾,讓各個vSphere Hosts會自動將Log往Log Insight送。

 

 

NSX Manager

 

進入NSX Manager的管理介面後,在Manage Appliance Settings內需要進行Syslog Server的相關設定。

 

 

NSX Controller

 

NSX Controller本身的Log設定比較討厭,目前沒有圖形介面,必須要採用Restful API的方式。相關細部設定請參考NSX的API Guide,但主要是我們可以由一個發送Restful API Command的軟體 (比如說Firefox的附加元件RESTClient這類的) 發送一個POST指令給NSX Controller,裏頭用XML語法提供Syslog Server / Port / Protocol / log level等資訊,舉例如下

 

 

而如果收到的回應為”200 OK”的話就代表API設定生效無誤。這邊的設定要分別對三台controller設定一次。

 

NSX Edge Service Gateway / DLR Control VM

 

每一台Edge Service Gateway或是DLR Control VM在產出時的精靈都會詢問Log相關資訊,或是我們可以直接從這台Gateway的Settings – > Configuration內進行Syslog Server的相關設定。

 

 

上述的設定完成後,在Dashboard內我們選擇NSX-vSphere,就可以進入Dashboard的監控台,在下圖我們可以看到很多的component都可以在監控台內看到,包括整個NSX環境日誌的Overview,也當然包括邏輯交換器、邏輯路由器、分散式防火牆、Edge Service Gateway等的相關圖表。舉例來說在下圖是NSX內的邏輯交換器監控台,在這邊就可以看到比如說是否有任何邏輯交換器的設定變動,企業可依此確認有沒有任何的未授權組態變更。或是在分散式防火牆的介面內,就可以看到像是防火牆規則被套用的統計,或是被Accept / Reject / Drop等等的相關資訊。

 

 

同樣的我們可以進入互動式分析介面去查找對應的日誌。舉例來說,若我們要查找與172.16.10.23這個IP有關的Log,可以先到Interactive Analytics介面內,輸入要查詢的時間範圍與字串,就能夠快速把相關的Log顯示出來

 

 

上面是就NSX與Log Insight的安裝與整合做簡單的介紹。我們會被問到一個問題是NSX可不可以搭配其他的日誌管理軟體?答案是當然可以啊,NSX的Manager / Controller / Edge Gateway與vSphere Host就是送Syslog出去到這些日誌管理軟體而已。但大家主要需要考量的點有兩個:

 

  • 這個日誌管理軟體能不能看懂NSX的Log,並提供相關的稽核統計資訊,如同上面各位看到的NSX Dashboard?

 

  • 計價方式,很多企業等級的日誌管理軟體是用日誌的量來計價,但Log Insight僅是用Log的來源數目來計價。比如說一個有十個vSphere Hosts,裡面有跑NSX以及10個Edge Server Gateways的環境,裡面
  • 10個vSphere Host是10個來源
  • 10個Edge Service Gateway是10個來源
  • NSX Manager是1個來源
  • 3台NSX Controller是4個來源
  • vCenter是1個來源

 

此時我們用一個標準的vRealize Log Insight 25 OSI Pack就可以符合所有的NSX日誌需求了,是很有競爭力與效益的方式。

 

vRealize Log Insight可以非常直接地協助大家在安全與網路虛擬化環境內進行錯誤排除以及稽核維運,並且僅需要低廉的部署成本。我們誠心的建議大家在所有的NSX生產或甚至是測試環境,都能使用vRealize Log Insight來提供日誌管理功能。